Regulamento Geral da Proteção de Dados - Manual Prático

Page 1

REGULAMENTO GERAL DA PROTEÇÃO DE DADOS

FILIPA MATIAS MAGALHÃES MARIA LEITÃO PEREIRA

MANUAL PRÁTICO O Regulamento Geral de Proteção de Dados introduz no regime jurídico da proteção dos dados pessoais novos conceitos, novos direitos e novas obrigações. As organizações têm até o dia 25 de maio de 2018 para garantir a conformidade dos seus procedimentos com o disposto no Regulamento Geral de Proteção de Dados, incorrendo, a partir daquela data, em elevadas coimas que poderão atingir 4% da faturação anual ou 20 milhões de euros. Neste Manual, iminentemente prático e conciso, o leitor encontrará: – Uma introdução clara e objetiva ao Regulamento Geral de Proteção de Dados; – A resposta às dúvidas mais frequentes relacionadas com os novos conceitos, direitos e obrigações decorrentes do Regulamento; – Um guião orientador das medidas técnicas e organizacionais a implementar para garantir a conformidade com o Regulamento e evitar coimas; – Um glossário com os termos do regulamento; – O Regulamento (EU) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016.

www.vidaeconomica.pt ISBN: Visite-nos em livraria.vidaeconomica.pt

REGULAMENTO GERAL DA PROTEÇÃO DE DADOS MANUAL PRÁTICO

FICHA TÉCNICA Título Regulamento Geral de Proteção de Dados - Manual Prático Autor Filipa Matias Magalhães e Maria Leitão Pereira Editor Vida Económica - Editorial, SA R. Gonçalo Cristóvão, 14 - 2.º • 4000-263 Porto www.vidaeconomica.pt • http://livraria.vidaeconomica.pt Composição e montagem Vida Económica Impressão e acabamento Uniarte Gráfica, S.A. • 4300-414 Porto Depósito Legal 433729/17 ISBN 978-989-768-435-7

Executado em novembro de 2017

A cópia ilegal viola os direitos dos autores. Os prejudicados somos todos nós. © Todos os direitos reservados para Vida Económica, Editorial, SA Nenhuma parte deste livro pode ser utilizada ou reproduzida, no todo ou em parte, por qualquer processo mecânico, fotográfico, electrónico ou de gravação, ou qualquer outra forma copiada, para uso público ou privado (além do uso legal como breve citação em artigos e críticas) sem autorização prévia por escrito da Vida Económica – Editorial, S.A.

Veja no final deste livro como se registar na editora Vida Económica e receber informação sobre lançamentos, iniciativas e promoções.

5

“– Na verdade, pensando bem, as leis até ocupam espaço, bem mais espaço do que um palácio.

– Como assim?

– As leis ocupam todo o espaço de um país, só que não se veem. Não pesam.

– Não percebo.

– É assim mesmo. As leis são como o oxigénio: estão em todo o lado mas não as vês.”

Gonçalo M. Tavares, in O Torcicologista, excelência.

7

NOTA JUSTIFICATIVA Porquê um Manual de aplicação prática do Regulamento Geral de Proteção de Dados? Aproximando-se a data da plena aplicação do novo Regulamento Europeu de Proteção de Dados e apesar da afirmação proferida pela Presidente da Comissão Nacional de Proteção de Dados (CNPD) na conferência “O novo Regulamento Europeu de Proteção de Dados”, promovida pela Ordem dos Advogados, no passado dia 25 de maio de 2017 – "O regulamento não tem nada de muito novo. Haverá alterações nas obrigações, mas o registo substantivo é o mesmo. Até está mais simplificado” –, a verdade é que, por detrás da tranquilidade mitigada pela responsabilidade que está inerente a esta afirmação, as organizações, empresas e instituições encaram este Regulamento com alguma preocupação. É para esses, e também para aqueles que, a menos de um ano da plena aplicação do Regulamento, ainda desconhecem as obrigações e direitos que dele decorrem, que este Manual se destina! Aqui poderá encontrar, de forma clara e objetiva, as maiores novidades introduzidas por este Regulamento Comunitário, a forma como o mesmo será aplicado em Portugal e que preocupações, cuidados, documentos e procedimentos terão que ser adaptados ou alterados. É um Manual para nos lembrar das nossas obrigações, mas também dos nossos direitos e das implicações práticas que tudo isto terá nas organizações. Esperamos, com o presente Manual, contribuir para descomplicar um instrumento legal que se pretende percetível por todos, como garante da sua boa implementação.

9

GLOSSÁRIO CONSENTIMENTO DO TITULAR DOS DADOS Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. DADOS PESSOAIS Informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. DESTINATÁRIO A pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento. ENCARREGADO DE PROTEÇÃO DE DADOS (DPO) Pessoa designada pela organização que estará envolvida em todas as questões relacionadas com a proteção de dados pessoais e cujas principais funções envolvem informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação do impacto da proteção de dados, monitorizar

10

Regulamento Geral de Proteção de Dados – Manual Prático

a conformidade da proteção de dados, que inclui, por exemplo, formar a equipa e realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto com as autoridades de proteção de dados. MINIMIZAÇÃO DOS DADOS (DATA MINIMISATION) Princípio que impõe que que os dados pessoais recolhidos devem ser limitados ao que é necessário relativamente às finalidades para as quais são tratados. DIREITO DE NÃO SUJEIÇÃO A DECISÕES AUTOMATIZADAS (OPOSIÇÃO AO PROFILING) Os titulares dos dados têm direito a opor-se ao uso de profiling, ou seja, qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais. PRIVACIDADE DESDE A CONCEÇÃO (PRIVACY BY DESIGN) Abordagem pró-ativa que assenta na necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um novo produto/processo. Aquando da conceção de um novo produto ou de um novo serviço, deve-se considerar o risco que tal representa para a privacidade, em vez de considerar as questões de privacidade apenas posteriormente. PRIVACIDADE POR DEFEITO (PRIVACY BY DEFAULT) Obrigação de assegurar que são colocados em prática os mecanismos necessários para garantir que, por defeito, apenas será recolhida, utilizada e conservada para cada tratamento a quantidade necessária de dados pessoais. Esta obrigação aplica-se à extensão do seu tratamento, ao prazo de conservação e à sua acessibilidade. AVALIAÇÃO DO IMPACTO (PRIVACY IMPACT ASSESSMENTS) Avaliação que visa identificar e minimizar os riscos por incumprimento das regras de proteção de dados, permitindo que a organização encontre problemas nas fases iniciais de qualquer projeto. PSEUDONIMIZAÇÃO Tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde

Glossário

que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. RESPONSÁVEL PELO TRATAMENTO DOS DADOS PESSOAIS Pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro. SUBCONTRATANTE A pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes. TRATAMENTO DOS DADOS PESSOAIS Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, bem como a limitação, apagamento ou destruição. TERCEIRO Pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais. VIOLAÇÃO DE DADOS PESSOAIS Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

11

13

ÍNDICE Nota justificativa----------------------------------------------------------------- 5 Glossário ------------------------------------------------------------------------- 8

PARTE 1: O REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS Âmbito de aplicação do Regulamento ----------------------------------------- 18 1. O organismo procede ao tratamento de dados pessoais? ---------- 18 2. O organismo, empresa ou instituição intervém como responsável

pelo tratamento ou como subcontratante?---------------------------- 21

3. Existe uma ligação geográfica com a União Europeia?--------------- 22 Os direitos dos titulares dos dados -------------------------------------------- 23 1. Direito de acesso ------------------------------------------------------- 23 2. Direito de retificação ---------------------------------------------------- 23 3. Direito de apagamento -------------------------------------------------- 24 4. Direito à limitação do tratamento--------------------------------------- 24 5. Direito de portabilidade dos dados ------------------------------------ 25 6. Direito de oposição e decisões individuais automatizadas----------- 25 O direito/dever a informação --------------------------------------------------

27

Os princípios aplicáveis ao tratamento dos dados pessoais ---------------- 29 1. Os princípios previstos pelo RGPD------------------------------------- 29 2. Licitude do tratamento dos dados pessoais--------------------------- 30 As obrigações do responsável pelo tratamento dos dados pessoais ------ 32 1. Proteção de dados desde a conceção e por defeito------------------ 33 2. Documentação e registo de atividades de tratamento---------------- 34 3. Avaliação do impacto (PIA)---------------------------------------------- 35

14

Regulamento Geral de Proteção de Dados – Manual Prático

4. O reforço de políticas e procedimentos de segurança de dados---- 36 5. Notificação da violação dos dados------------------------------------- 37 O encarregado de proteção dos dados DPO----------------------------------- 38 1. Todas as entidades devem obrigatoriamente nomear um DPO?---- 38 2. Quem pode ser nomeado encarregado de proteção dos dados?--- 39 3. Quais são as atribuições de um DPO?--------------------------------- 39 O tratamento de dados pessoais especiais------------------------------------ 42 1. Os dados sensíveis------------------------------------------------------ 42 2. Os dados referentes a condenações penais e infrações------------- 44 O incumprimento do RGPD------------------------------------------------------ 46

1. A autoridade de controlo ------------------------------------------------ 46 2. O recurso aos tribunais judiciais --------------------------------------- 48

PARTE 2: IMPLEMENTAR O RGPD Implementar o RGPD – passo a passo----------------------------------------- 51 Designar um responsável pela compliance----------------------------------- 52 Levantamento e mapeamento de todos os tratamentos de dados pessoais

53

Diagnóstico----------------------------------------------------------------------- 55

Compliance ---------------------------------------------------------------------- 59

1. Garantir a prestação da informação ao titular dos dados------------- 59

2. Documentar a conformidade ao RGPD--------------------------------- 60

3. Preparar e divulgar políticas e regulamentos internos ---------------- 61

Conclusão------------------------------------------------------------------------ 62

PARTE 3: ANEXO Regulamento (UE) 2016/680 do Parlamento Europeu e do Conselho de 24 Abril de 2016-------------------------------------------------------------- 65 Diretório ------------------------------------------------------------------------- 109

PARTE I O REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS

17

O presente Regulamento reflete a vontade do Parlamento Europeu e do Conselho da União Europeia de implementar “um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno”. Após vários anos de utilização massiva da rede para comunicar, comprar, promover produtos e aproximar as pessoas e as empresas, fica o sentimento de insegurança que resulta destas relações virtuais, tendo-se considerado essencial devolver às pessoas singulares o controlo da utilização que é feita dos seus dados pessoais, devendo ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas. Na linha desse objetivo, a publicação, no dia 4 de maio de 2016, do novo Regulamento Geral sobre a Proteção de Dados – RGPD – constitui um marco fundamental na regulação do tratamento dos dados pessoais, tendo como escopo responder aos novos desafios na área de proteção de dados pessoais gerados pela evolução das novas tecnologias e pela globalização dos mercados. Este regulamento faz parte do pacote da União Europeia relativo à reforma da proteção de dados e passará a ser aplicado direta e obrigatoriamente a partir de 25 de maio de 2018, trazendo impactos significativos na vida das organizações. O RGPD introduz um conjunto de novas regras, que nos propomos aqui analisar, entre as quais se destaca a obrigação de designar um encarregado de proteção de dados, regras sobre pseudonimização de dados, a alteração das regras sobre obtenção de consentimento, a eliminação do sistema de notificações e autorizações, a implementação do direito ao esquecimento, a criação de obrigações acrescidas para os subcontratados, a introdução de coimas de valor muito elevado e obrigações de informação relativas a quebras de segurança.

18

ÂMBITO DE APLICAÇÃO DO REGULAMENTO PERGUNTA: A quem se aplica o Regulamento Geral sobre a Proteção dos Dados Pessoais?

A primeira questão que o Leitor deve colocar é a de saber se a sua empresa, o seu serviço, a sua instituição está, ou não, sujeito à disciplina do Regulamento Geral sobre a Proteção de Dados. Atrevemo-nos a afirmar que, se comprou este manual, é porque já suspeita que sim! E a verdade é que estará, muito provavelmente, certo, uma vez que praticamente todas as organizações se encontram sujeitas ao regime do RGPD, ainda que nem todas se encontrem sujeitas às mesmas obrigações. Nos seus artigos 2.º, 3.º e 4.º, o RGPD estipula o seu âmbito de aplicação territorial e material, prevendo-se aí três requisitos para determinar se uma empresa/instituição recai, ou não, no âmbito de aplicação do RGPD.

1. O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS PESSOAIS? O RGPD aplica-se aos tratamentos de dados pessoais realizados por meios total ou parcialmente automatizados, ou por meios não automatizados (desde que contidos em ficheiros).

O Regulamento Geral sobre a Proteção de Dados

Dois aspetos se destacam desta noção: • Não são abrangidos os dados das pessoas coletivas; e • O regulamento aplica-se também ao tratamento de dados por meios não automatizados, desde que os dados se encontrem em ficheiros. O QUE SE CONSIDERA TRATAMENTO DE DADOS? Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem recurso a meios automatizados, entre as quais se encontram as seguintes: • Recolha de dados; • Registo desses dados; • Organização de dados; • Conservação; • Adaptação ou alteração; • Recuperação; • Consulta; • Utilização; • Divulgação por qualquer forma de disponibilização; • Comparação ou interconexão; • Limitação; • Apagamento; ou • Destruição. Todavia o RGPD não tem vocação a aplicar-se a todo e qualquer tratamento, mas apenas ao tratamento de dados pessoais. Vejamos, então, o que se deve entender por dados pessoais? O QUE SE CONSIDERA DADOS PESSOAIS? Consideram-se “dados pessoais” todos e quaisquer dados relativos a pessoas singulares identificadas ou identificáveis, como o nome, morada, e-mail, idade, estado civil, dados de localização, genéticos, fisiológicos, económicos, culturais ou sociais.

19

20

Regulamento Geral de Proteção de Dados – Manual Prático

Pergunta: Existe uma lista taxativa do que são dados pessoais? Resposta: Não existe uma lista taxativa com todos os dados que se consideram dados pessoais, referindo-se apenas o Regulamento a todos os dados que nos permitem identificar uma pessoa, como por exemplo: o nome, a morada, o IP, número de contribuinte, número de utente dos serviços de saúde, hábitos de consumo, etc…

Existindo dúvidas quanto à natureza dos dados, deve ser consultada a autoridade de controlo, que prestará os esclarecimentos necessários. O legislador optou por uma definição do conceito de dados pessoais bastante ampla, que não se limita apenas ao nome das pessoas ou ao número do seu documento de identificação, mas abrange qualquer informação, de qualquer natureza e independentemente do suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável. Considerando a amplitude desses conceitos, é altamente provável que a empresa/instituição do Leitor proceda ao tratamento de dados pessoais – nem que seja apenas para a gestão dos seus recursos humanos, da lista dos seus fornecedores e/ou clientes ou no âmbito de atividades de prospeção do mercado, vigilância interna, etc... Nota: Alguns tratamentos de dados pessoais encontram-se excluídos do âmbito de aplicação do Regulamento: • O tratamento de dados efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, ou seja, sem ligação a uma atividade profissional. Será, por exemplo, o caso das operações realizadas pelo Leitor na lista de

REGULAMENTO GERAL DA PROTEÇÃO DE DADOS MANUAL PRÁTICO O Regulamento Geral de Proteção de Dados introduz no regime jurídico da proteção dos dados pessoais novos conceitos, novos direitos e novas obrigações. As organizações têm até o dia 25 de maio de 2018 para garantir a conformidade dos seus procedimentos com o disposto no Regulamento Geral de Proteção de Dados, incorrendo, a partir daquela data, em elevadas coimas que poderão atingir 4% da faturação anual ou 20 milhões de euros. Neste Manual, iminentemente prático e conciso, o leitor encontrará: – Uma introdução clara e objetiva ao Regulamento Geral de Proteção de Dados; – A resposta às dúvidas mais frequentes relacionadas com os novos conceitos, direitos e obrigações decorrentes do Regulamento; – Um guião orientador das medidas técnicas e organizacionais a implementar para garantir a conformidade com o Regulamento e evitar coimas; – Um glossário com os termos do regulamento; – O Regulamento (EU) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016.

ISBN 978-989-768-435-7

www.vidaeconomica.pt ISBN: 978-989-768-435-7 Visite-nos em livraria.vidaeconomica.pt

9 789897 684357

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.